Dans cette deuxième formation pfsense, nous allons découvrir des fonctionnalités plus avancéesde pfSense, notamment les VPNs, avec un exemple de mise en place de VPNs via IPSEC (Exemple avec du Site-To-Site) et via OpenVPNs (Exemple avec du Point-To-Site).
Nous allons aussi pouvoir découvrir comment mettre en place des plans de haute disponibilité et redondance sans oublier la partie Bridging et Routing, spécialement la mise en place de Multi-Wan grâce à ofsense.Nous verrons ensuite comment compléter pfsense avec des packages complémentaires tels que des IDS/IPS (SNORT et Suricata), des Proxy (Squid/Squid Guard) ou encore la mise en place de filtrage Anti-Virus, ainsi que d’autres packages à découvrir sur la formation nous permettant de transformer notre pfsense en un vrai UTM.
La dernière partie de la formation quant à elle se focalise sur la partie monitoring et Journalisation, procédure de troubleshooting et enfin les tests de sécurité sur les firewalls.
5. Une formation
Plan de la formation
Introduction
Les VPNs
Redondance et haute disponibilité
Configuration du CARP
Routing et Bridging
6. Une formation
Plan de la formation (suite)
Packages complémentaires
Troublshooting et test de sécurité
Benchmarking
Conclusion et perspectives
7. Une formation
Public concerné
Plateforme Intune dans le cloudAdministrateur réseau
Technicien Réseau
Responsable sécurité
Ingénieur réseaux / sécurité
Intégrateur
Et tout le monde
8. Une formation
Objectifs de la formation
Installation, configuration et
administration
Déploiement dans plusieurs scénarios
Test de sécurité
Firewalking
Capacity planning
PfSense comme UTM
17. Une formation
IPSEC
Une connexion VPN est composée de deux
tunnels :
1. Un tunnel IKE pour l’échange des
paramètres de sécurité entre entités
2. Un tunnel IPSec qui sert au transfert de
données entre entités
18. Une formation
IPSEC
Négociation des paramètres de sécurité
Etablissement des clés pour l’authentification
Chiffrement, validation et authentification des
données
Validation et authentification des données
ESP
AH
IKE
Plande
contrôle
IKE
Plandedonnées
IPsec
19. IPSEC : SA
IPsec SA
IKESA
Une formation
Accord sur les paramètres de sécurité entre deux
entités
Il est nécessaire que les deux entités soient d’accord
sur les réglages de sécurité
L’ensemble de ces réglages est appelé Security
Association (SA)
20. Une formation
IPSEC
IKE automatise le processus d’échange de
clés entre entités pour la mise en œuvre d’un
tunnel lPsec
Négociation des paramètres de sécurité au
travers d’une SA (Security Association)
Génération automatique des clés
21. Une formation
IPSEC
BOB ALICE
Echange des paramètres de
sécurité (SA)
Couche application
+ transport
IPSec (AH - ESP )
Couche application
+ transport
IPSec (AH - ESP )
Echange des paquets cryptés
Internet
SA SA
IKE
23. Une formation
L2TP
Le protocole Layer 2 Tunneling (L2TP)
Protocole de tunneling utilisé pour les (VPN)
Il n’a pas de cryptage ou de confidentialité
Il s’appuie sur un protocole de cryptage
(comme IPSec) qui passe dans le tunnel
pour assurer la confidentialité
24. Une formation
OpenVPN
Une application informatique ouverte pour
la mise en place de techniques des réseaux
privés virtuels
Connexions sécurisées point-par-point ou
site-par-site
Il exploite un protocole de sécurité sur
mesure qui utilise SSL/TLS pour les
échanges des clés
25. Une formation
OpenVPN
Un protocole Open VPN permet à des
homologues de s’authentifier mutuellement
en utilisant une clé secrète pré-partagée,
des certificats ou un nom d’utilisateur / mot
de passe
26. Une formation
Comparaison
YES YES
NO ( no encryption
at all )
OpenVPN Linux
Windows ,Linux
macOS X
YES YES YES
Support multi-
WAN
Firewall friendliness
Cryptographically
secure
Windows , macOS X
Client inclued in OS
Windows, Linux
macOS X
YES Only with NAT-T YES
Windows, Linux
Protocol
IPSec
L2TP
Client inclued in OS
Client available for
OS
54. Une formation
Le Routing
Une des principales fonctions d'un pare-feu
Routage paraît transparent
Peu de configurations supplémentaires
Grande facilité
55. Une formation
Le Routing
Important : Si vous avez un routeur
connecté à l'un des réseaux internes
de pfSense, pfSense ne saura pas
comment acheminer le trafic vers les
nœuds connectés au routeur, à moins
que vous ne définissiez un itinéraire
statique pour celui-ci.
56. Une formation
Le Bridging
N'est pas quelque chose qui est fait
dans les configurations des réseaux
typiques
Normalement, chaque interface a son
propre domaine de diffusion
57. Une formation
Le Bridging
Cependant, il est souvent utile ou
nécessaire de combiner (ou de mettre
en pont) deux interfaces afin qu'elles
soient dans le même domaine de
diffusion, de la même manière
qu'elles le seraient si elles étaient sur
le même commutateur
58. Une formation
Le Bridging
« La différence entre deux interfaces
pontées et un commutateur est qu'avec
les interfaces pontées, les règles de
pare-feu s'appliquent toujours »
70. Une formation
Etat des connexions
Point-to-point (P2P)
Cette connexion est une connexion
en FULL-DUPLEX, RSPT estime que
cette liaison est une liaison point à
point
71. Une formation
Etat des connexions
Shared
Cette connexion est une connexion HALF-
DUPLEX, elle est partagée (Shared) entre
plusieurs équipements via un Hub
Edge
Cette connexion est une connexion entre un
Switch et un Client
85. Une formation
Procédure
L'ajout des groupes
de passerelle qui
incluent les
nouvelles
interfaces.
Ajout de règles de
pare-feu pour
chacun des
nouveaux groupes
de passerelle.
89. Une formation
Introduction
Modules ou packages
complémentaires
Amélioration de l’efficacité de PfSense
Possibilité de le rendre aussi efficace
qu’un UTM
Multifonctions !
94. Une formation
Snort
C’est un système de détection d'intrusion
réseau (ou NIDS)
Open Source
C’est un des plus actifs NIDS Open Source et
possède une communauté importante
contribuant à son succès
100. Une formation
Squid
Un serveur Proxy et Reverse Proxy
Il gère les protocoles FTP, HTTP, Gopher,
et HTTPS
Il gère toutes les requêtes en un seul
processus d'entrée/sortie asynchrone
OpenSource
119. Une formation
Suricata
Parmi les IPS les plus performants
Très puissant
Open Source
Modulable
Protection Efficace
PS : Le positionnement est important !
126. Une formation
Monitoring et Logging
Les Logs représentent une mine d’or
La supervision et la transformation des logs
en informations décisionnelles est plus que
primordiale
Troubleshooting mais aussi analyse des
menaces
127. Une formation
Monitoring et Logging
Logs
Solutions SIEM
Solutions de gestion et corrélation de
logs
Analyse des états du FW